SectopRAT

Los expertos en ciberseguridad han descubierto un nuevo RAT (troyano de acceso remoto) llamado SectopRAT. Cuando diseccionaron la amenaza, se hizo evidente que sus autores todavía están trabajando en ella. Varias funciones no funcionan, y varios módulos parecen estar lejos de estar completos.

Lanza un escritorio secundario

Sin embargo, a pesar de ser un proyecto aún por terminar, el SectopRAT tiene una característica muy interesante. Esta amenaza puede lanzar un proceso adicional llamado 'explorer.exe' que se ocultará a la víctima. Este proceso lanza un segundo escritorio que el usuario no puede ver, pero los atacantes pueden operar libremente. El segundo escritorio permitirá a los autores de SectopRAT revisar los archivos de la víctima, navegar por Internet y modificar varias configuraciones y configuraciones en el host comprometido. Los atacantes también pueden lanzar una nueva instancia de navegador. Sin embargo, si las víctimas han configurado su navegador web manualmente, en lugar de usar la configuración de instalación predeterminada, el SectopRAT puede no funcionar. Esto se debe a que los atacantes han utilizado directorios codificados para ejecutar el navegador web (independientemente de si es Google Chrome, Mozilla Firefox o Internet Explorer).

Otras capacidades

Además de las capacidades enumeradas anteriormente, SectopRAT también puede operar el cursor y ejecutar un módulo de teclado. Esto significa que el control de los atacantes es casi ilimitado, y pueden operar el host comprometido casi como si lo hubieran tomado físicamente. Los investigadores también descubrieron que SectopRAT podría cambiar la dirección del servidor C&C (Comando y Control) de manera bastante rápida y fácil. SectopRAT tiene varias otras capacidades:

• Recopilar información sobre la máquina infectada.
• Desconectarse del sistema comprometido.
• Actualización automática

Los autores de SectopRAT todavía están probando las aguas

Los expertos han detectado algunas variantes diferentes de SectopRAT que se han cargado en los servicios de escaneo destinados a detectar malware. Los investigadores especulan que esto puede ser obra de los autores de SectopRAT. Esto significa que, por el momento, los atacantes parecen estar sumergiendo su dedo del pie en el agua y probando si su amenaza será detectada por un escáner de seguridad. Entre las muestras detectadas había una variante de SectopRAT, que se disfrazó como Adobe Flash Player. Esto nos lleva a creer que SectopRAT puede propagarse como una copia falsa de Adobe Flash Player o como una actualización de la aplicación.

Tenga especial cuidado cuando navegue por la Web y evite los sitios sospechosos que pueden albergar contenido dudoso, ya que esto es de lo que dependen muchos delincuentes cibernéticos para propagar malware. Además, debe descargar e instalar una aplicación anti-malware de buena reputación que mantendrá su sistema seguro.